Hace poco han salido a la luz detalles sobre una nueva plataforma de spyware móvil llamada ZeroDayRAT, comercializada abiertamente en canales de Telegram como una herramienta lista para espiar teléfonos Android e iPhone. Investigadores de seguridad han rastreado los anuncios y el funcionamiento del producto: los desarrolladores no solo venden el binario malicioso, sino que ofrecen un constructor y un panel web que el comprador puede desplegar en su propio servidor, además de soporte y actualizaciones periódicas. En la práctica, se trata de una suite que convierte un móvil comprometido en una fuente continua de datos y en una cámara y micrófono remotos controlables desde un navegador. Para una explicación técnica y el análisis completo, puede consultarse el informe de iVerify en el que se documenta la amenaza: iVerify - Breaking down ZeroDayRAT.
ZeroDayRAT, según el análisis disponible, soporta un amplio rango de versiones de Android y iOS, y su vector de entrada más común no son exploits sofisticados sino tácticas de ingeniería social: aplicaciones falsas en tiendas no oficiales, páginas de descarga engañosas, o instaladores que se hacen pasar por utilidades legítimas. Una vez instalado, el software reporta al panel del atacante información completa del dispositivo —modelo, sistema operativo, estado de batería, operador y detalles de la SIM— y ofrece vistas previas de mensajes, uso de aplicaciones y demás metadatos que permiten trazar un perfil detallado de la víctima.
Además de registrar metadatos, ZeroDayRAT incorpora funciones intrusivas de vigilancia en tiempo real: localización GPS trazada sobre mapas, historial de ubicaciones, transmisión de la cámara y del micrófono, y registro de teclas. Esa combinación convierte al teléfono en una herramienta de espionaje permanente, no solo en un vector para robo de credenciales. El panel también lista las cuentas registradas en el dispositivo —correo y redes sociales— lo que facilita al atacante identificar servicios valiosos para seguir explotando o monetizar la información robada.
El abanico de capacidades incluye, igualmente, componentes diseñados para el fraude financiero. Un módulo detecta aplicaciones de billetera y cambia las direcciones copiadas al portapapeles para redirigir transferencias a cuentas controladas por el atacante. Otro módulo se focaliza en servicios de pago móvil y bancos, apuntando a plataformas populares, incluidas aplicaciones locales con gran adopción en regiones específicas. En el caso de India, por ejemplo, los investigadores señalaron que el malware busca habilitar fraudes relacionados con UPI —la infraestructura de pagos instantáneos—; para entender ese sistema, puede consultarse la documentación del NPCI sobre UPI: NPCI - UPI.
En el ecosistema criminal actual, ZeroDayRAT no surge en aislamiento; se enmarca en una oleada de familias de malware y campañas que han explotado distintas vías de distribución y abusado de servicios legítimos para alojar o propagar payloads. En las últimas semanas, por ejemplo, se ha publicado una campaña que usó Hugging Face para distribuir cargadores maliciosos que luego descargaban un APK que pedía permisos de accesibilidad para controlar el dispositivo. Ese caso y su metodología fueron descritos por Bitdefender: Bitdefender - Android RAT campaign.
La proliferación de herramientas de control remoto y troyanos para Android ha crecido y diversificado sus métodos. Familias como Arsink han combinado servicios en la nube y plataformas de mensajería para comando y control, mientras que otros troyanos han conseguido colarse en tiendas oficiales o en anuncios verificados mediante campañas de malvertising. Zimperium y otros laboratorios han documentado variantes que usan Google Apps Script, Firebase y canales de Telegram para orquestar exfiltración y administración remota: Zimperium - Arsink.
El hecho de que kits completos de intrusión se vendan como producto eleva un problema social y técnico. Antes, cierto nivel de sofisticación centrado en exploits de día cero o en infraestructuras personalizadas era necesario para lograr vigilancia remota persistente; hoy, un comprador con recursos modestos puede adquirir una solución que integra espionaje, robo de credenciales y capacidades para desviar dinero. Este cambio reduce la barrera de entrada y multiplica los actores con capacidad de causar daño.
El fenómeno no se limita al spyware tradicional: han aparecido campañas que usan aplicaciones de apariencia inocua para actuar como instaladores de troyanos bancarios, redes de remesas falsas que reclutan mules, y herramientas NFC que permiten clonar o relayer transacciones de pago con el teléfono. Reportes recientes de empresas como Group-IB y CTM360 describen cómo los atacantes han comercializado aplicaciones y servicios para facilitar fraudes de pago y recolección de dinero, mostrando además que algunos mercados en Telegram concentran miles de suscriptores interesados en soluciones de este tipo: Group-IB - Ghost Tapped y CTM360 - ShadowRemit.
También han sido detectados casos en los que aplicaciones aparentemente legítimas subidas a tiendas oficiales actuaron como puertas de entrada para malware bancario, con miles de descargas antes de ser retiradas. Estos incidentes subrayan que no basta con mirar solo las fuentes fuera de los ecosistemas oficiales: los atacantes explotan la confianza y la cadena de distribución. Ejemplos y análisis de aplicaciones maliciosas en tiendas o replicando páginas de Play Store han sido publicados por varias firmas de seguridad.
Frente a este panorama, la parte preventiva recae tanto en fabricantes y tiendas de apps como en el usuario. Mantener el sistema operativo y las aplicaciones actualizadas, evitar instalar APKs desde orígenes no verificados, revisar los permisos que solicita una app y desconfiar de mensajes que instan a instalar “actualizaciones” fuera de los canales oficiales sigue siendo básico. Para entornos de alto riesgo, es recomendable usar mecanismos de autenticación más robustos que los SMS —como llaves físicas o aplicaciones de autenticación— y activar alertas de actividad inusual en cuentas sensibles. Apple documenta cómo funciona el aprovisionamiento empresarial y por qué puede ser un vector de riesgo cuando se abusa de él: Apple - Installing profiles on devices. Asimismo, Google ofrece guías sobre cómo funciona Play Protect y cómo reducir riesgos en Android: Google Play Protect.
La respuesta tecnológica y jurídica también debe evolucionar. Los indicadores técnicos y los cuadros de mando que publican los equipos de respuesta pueden ayudar a detectar artefactos conocidos, pero la economía del crimen —ahora posibilitada por comercios en Telegram y otras plataformas— demanda medidas coordinadas entre proveedores de servicios en la nube, fabricantes de sistemas operativos, plataformas de mensajería y fuerzas de seguridad. Informes públicos y análisis independientes, como los de iVerify, Bitdefender o Group-IB, son piezas clave para que administradores y periodistas comprendan y difundan la amenaza: iVerify, Bitdefender, Group-IB.
Si eres usuario, la recomendación práctica es no bajar la guardia: verifica la procedencia de las aplicaciones, desconfía de enlaces recibidos por mensajería que piden instalar software, revisa con regularidad la lista de aplicaciones instaladas y los permisos otorgados, y utiliza protección adicional para tus cuentas financieras. Si sospechas que un dispositivo puede estar comprometido, lo prudente es aislarlo de redes sensibles, cambiar contraseñas desde un dispositivo limpio y buscar ayuda de profesionales o de proveedores de seguridad. Los reportes que documentan casos concretos y técnicas empleadas te pueden ayudar a identificar patrones y adoptar defensas más acertadas; para lecturas adicionales sobre campañas recientes puedes consultar análisis como los de Zimperium, WeLiveSecurity y AdEx - Triada.
La conclusión es clara: la amenaza móvil ya no es sólo una cuestión de aplicaciones invasivas aisladas, sino de un mercado de herramientas donde la vigilancia, el robo y el fraude se venden empaquetados. Entender cómo operan estas plataformas y aplicar medidas básicas de higiene digital es hoy la mejor defensa para usuarios y organizaciones.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...